Virtualisation & Sécurité Comment aborder la sécurité d une architecture virtualisée? Quels sont les principaux risques liés à la virtualisation? Peut-on réutiliser l expérience du monde physique? Quelles sont les bonnes pratiques? La virtualisation peut-elle augmenter la sécurité d un service? Quels sont les avantages et les inconvénients du produit gratuit VMware ESXi 4.0? Synthèse du rapport http://www.tdeig.ch/visag/security.pdf 2 mars 2012 gerald.litzistorf@hesge.ch 1
Que signifie virtualisation? Compatibilité binaire (OS + applic) Transparence (performance) Cloisonnement (sécurité) 2012 gerald.litzistorf@hesge.ch 2
Arguments commerciaux Meilleure utilisation du matériel Consolider des serveurs Economie du matériel, de l énergie consommée, des surfaces, Facilité d ajouter une machine virtuelle supplémentaire Souplesse d exploitation : ajouter, tester, supprimer, sauvegarder,.. Technologie pour le Cloud Computing & Grid Gartner prédisait l installation de 4 Mio de machines virtuelles en 2009, mais que 60% sera moins bien sécurisée qu avec une architecture traditionnelle IBM proposait la virtualisation (VM/370) dès 1964 2 mars 2012 gerald.litzistorf@hesge.ch 3
Consommation des PC du labo Carte mère Asus avec 2 CPU-64bit de 3 GHz, 4 GByte de RAM, un disque SATA de 320 GByte et 3 interfaces ethernet 2012 gerald.litzistorf@hesge.ch 4
Pourquoi les entreprises choisissent la virtualisation? Source = Lancelot Institute Advanced VMware Security oct 2010 80% Consolidation 60% Disaster recovery 50% Agility of provisioning ressources to users 50% Business agility 10% Competitive advantage Cloud Computing il y a plus de 5 ans que j utilise un Cloud Computing sans que j en susse rien il y a plus de quarante ans que je dis de la prose sans que j en susse rien M. Jourdain dans le Bourgeois gentilhomme de Molière 2 mars 2012 gerald.litzistorf@hesge.ch 5
Architecture ESXi Dans notre cas, VMM peut émuler 2 vcpu (virtual CPU) car 2 pcpu VMware conseille de laisser ce paramètre à 1 à moins que le Guest OS soit capable de s exécuter de manière concurrente sur plusieurs (2, 4, ) CPU physiques VMkernel 64bit basé sur noyau Linux Management (web) via vsphere VMFS (Virtual Machine File System) 2 mars 2012 gerald.litzistorf@hesge.ch 6
5 principaux domaines d un système virtualisé ( 2.2) Réseau séparation, défense périmétrique Système comptes actifs, services, logs Management accès distant, backup, Virtualisation cloisonnement des VMs, Applicatif flux, 2 mars 2012 gerald.litzistorf@hesge.ch 7
Redondance et séparations physiques ( 3) Administration via un réseau (des hommes) de confiance Storage Area Network digne de confiance Risques au niveau des VMs (services) offerts sur internet Utiliser les bonnes pratiques sécuritaires du monde physique! 2 mars 2012 gerald.litzistorf@hesge.ch 8
Performances & disponibilité Pour le responsable technique : Connaître les besoins (cahier des charges, SLA, ) Trouver le meilleur compromis entre coût et performances Surveiller certains indicateurs : charge CPUs, occupation RAM, accès disque, charge réseaux Choix du système de stockage, prise en compte des exigences de sécurité (pas traité dans ce projet) Redondance (pas traité dans ce projet) Pour l utilisateur : Serveur virtualisé doit présenter des caractéristiques semblables au serveur physique 2 mars 2012 gerald.litzistorf@hesge.ch 9
Superviser un Cloud - Lionel Schaub La vir 2 mars 2012 gerald.litzistorf@hesge.ch 10
Really Risks Trust mesh Single point of failure High value target "New" layer (VMM) Misconfiguration Source = Lancelot Institute Advanced VMware Security oct 2010 2 mars 2012 gerald.litzistorf@hesge.ch 11
Risques Disponibilité - 2.3.1 Réservation des ressources CPU, RAM, Quality of Service Denial of Service Une VM peut monopoliser toutes les ressources Single point of failure, High value target Mêmes solutions que pour le monde physique + limiter le nb de vcpu, ajuster des limites de charge CPU, Intégrité - 2.3.2 Confiance dans la couche de virtualisation, les OS, les applic., Confidentialité - 2.3.3 Les méthodes classiques (séparation physique, échanges sécurisés avec SSL/TLS, IPSec, ) restent valables 2 mars 2012 gerald.litzistorf@hesge.ch 12
Architecture physique Spécialistes Serveurs, Contexte applicatif Réseau Sécurité Taille de l entreprise 2 mars 2012 gerald.litzistorf@hesge.ch 13
Architecture virtualisée Risques Misconfiguration Eviter que chaque spécialiste s occupe de problématique qu il ne maîtrise pas Comprendre la virtualisation Très (trop) facile d ajouter une VM de test, Taille de l entreprise 2 mars 2012 gerald.litzistorf@hesge.ch 14
Activités & Publications 2011 www.tdeig.ch Services=20 Formation=10 Banque=8 Industrie=2 50% 25% 20% 5% 2 mars 2012 gerald.litzistorf@hesge.ch 15
Risques au niveau de l hyperviseur "New" layer (VMM) Le cloisonnement entre VM est-il garanti? Hyperviseurs (ESXi, Linux-KVM) sont des composants éprouvés Pas d attaque publiée sur VM Hopping ou VM Escape VM Hopping : VM Hostile tente d accéder à l espace RAM de la VM Victime VM Escape : VM Hostile tente de prendre le contrôle de l hyperviseur 2 mars 2012 gerald.litzistorf@hesge.ch 16
Méthodologie VM minimale (sans système d exploitation) Tentative d accès à la mémoire RAM (no OS memory management) VM accède en fait à vram et non directement à pram Seul l hyperviseur peut accéder au matériel Tentative de sortir de l espace RAM alloué (réservé) Accès au niveaux du CPU (ring) 2 mars 2012 gerald.litzistorf@hesge.ch 17
VM minimale http://sos.enix.org/wiki-fr/upload/sosdownload/sos-texte-art1.pdf 2 mars 2012 gerald.litzistorf@hesge.ch 18
http://www.tdeig.ch/visag/sos/ Meilleure 2 mars 2012 gerald.litzistorf@hesge.ch 19
Accès direct à la mémoire L espace RAM est mis à zéro lors du démarrage de la VM Il n est pas possible de sortir de l espace RAM alloué Dans quel niveau de protection (ring) se trouve le CPU? 2 mars 2012 gerald.litzistorf@hesge.ch 20
Can we trust ESXi? Peut-on valider scientifiquement la bonne sécurité de l hyperviseur ESXi? Non, sans code source, l utilisateur doit faire confiance à VMware (comme à MS) ou tenter une analyse de type reverse engineering Peut-on considérer le cloisonnement entre VMs comme sûr? Oui, aucun exploit disponible sur internet confirmé par nos tentatives de sortie de l espace alloué Qui gère ce cloisonnement? VMM logiciel dans les systèmes 32 bit (Binary Translation) Extension VT-Intel pour les systèmes 64 bit http://www.vmware.com/files/pdf/perf-vsphere-monitor_modes.pdf 2 mars 2012 gerald.litzistorf@hesge.ch 21
Conclusion : principaux risques Principaux risques sont humains Mauvaise configuration, VMs fantômes?, Documentation à jour Connaître le profil (min moy max) des charges références! Difficulté d agir lors d un problème (affirmation VMware) La couche de virtualisation complexifie le système Outils de supervision, formation, training (mise en condition, ) Peut-on auditer une architecture virtualisée selon les principes utilisés pour le monde physique? Oui l hyperviseur n est qu un composant du système d information Posséder un référentiel basé sur les bonnes pratiques 2 mars 2012 gerald.litzistorf@hesge.ch 22
Conclusion : 3 Bonnes pratiques 1. Documentation & simplicité 2. Gestion du changement 3. Sécurité physique 4. Administration 5. Systèmes : profils 6. Redondance 7. Réseau 8. Applicatifs 9. Stockage & sauvegarde 10. Supervision 2 mars 2012 gerald.litzistorf@hesge.ch 23
Conclusion : impact positif sur la sécurité? La virtualisation peut-elle augmenter la sécurité? Sous Windows, un processus hérite des droits (autorisations NTFS) du compte actif (Système, Service réseau,, Admin, User) Tous les processus démarrés avec le même compte X peuvent interférer entre eux. Attaques de type injection DLL L isolation entre VMs offre un cloisonnement sûr 2 mars 2012 gerald.litzistorf@hesge.ch 24
Suite des travaux Le programme VMsafe n est pas accessible au monde académique Plusieurs études analogues sur internet commencent par ESXi pour migrer vers des solutions Open Source comme KVM, SELinux peut-il aider à améliorer le niveau de sécurité de VMs sous KVM? Accompagner des entreprises 2 mars 2012 gerald.litzistorf@hesge.ch 25